网络安全 频道

交换机安全配置技巧

 何时

  无论什么时候发现系统安全的漏洞,你都应该安装补丁进行更新。每年最少应该检查并且更新交换机的安全策略一次。

  何因

  如果没有采取充分的安全措施,连接到因特网上的企业网络是很容易受到攻击的。如果你已经读过前几期的关于防火墙和路由器的安全策略,那么这条信息看起来应该相当熟悉。而且,和以前一样,这些规则适用于所有的交换机,而不管你偏爱何种交换机。

  策略

  国家安全局系统和网络攻击中心(SNAC)编写了一篇关于思科IOS交换机的安全配置向导,该向导在三个层次上讨论安全和交换机配置:接入层、分布层和核心层。

  这里列举了一些通用安全清单以供参考:

  运用安全策略保护系统中的所有交换机,包括操作系统、密码、管理端口、网络服务、端口安全、系统漏洞、虚拟局域网、生成树协议、访问 控制列表、日志和调试以及认证、授权和计费。

  控制交换机的物理访问端口。

  在每一台交换机上安装最新版本的互连网络操作系统IOS。

  设置"enable secret"密码。

  带外管理交换机。如果不能实现的话,可以利用单独的VLAN号进行带内管理。

  设置会话时限并且设置优先级。

  明确禁止未经授权的访问。

  使能并且安全地配置必要的网路服务;关闭不必要的网络服务。

  为SSH设置更安全的密码,然后利用SSH代替telnet进行远程管理。

  如果需要使用SNMP协议的话,为SNMP设置更难以破解的community字符串。

  限制基于MAC地址的访问来保护端口安全,关闭端口的自动中继功能。

  利用交换机的端口镜像功能实现网络入侵检测系统对数据的访问。

  关闭没有使用的交换机端口并且为它们分配一个无用的VLAN号。

  为中继端口分配一个没有被其他端口占用的本地VLAN号。

  限制中继端口能传输的VLAN数。

  利用静态VLAN配置功能。

  可能的话,关闭VTP功能。否则,设置VTP的管理域、密码和Pruning功能,然后将VTP设置为透明传输模式。

  适当的使用访问控制列表。

  使能日志功能,并且将日志文件专门放到一台安全的日志主机上。

  使用NTP和时间戳来标记日志文件的时间信息。

  定期查看日志文件以预防可能发生的事故,依照安全策略将日志文件存档。

  使用AAA认证来保护对交换机的本地和远程访问。

  对交换机配置文件进行脱机安全备份,并且限制对配置文件的访问。同时应该对不同的配置添加描述性注释以方便查看。

0